新发布的图像处理和转换包
,消除了项目在模糊测试期间发现的 52 个潜在漏洞 .
自 2018 年 343 月以来,OSS-Fuzz 总共发现了 331 个问题,其中 12 个已在 GraphicsMagick 中修复(其余 90 个问题的 XNUMX 天修复期尚未到期)。 分别地
OSS-Fuzz也用于检查相关项目 目前尚有100多个问题尚未解决,限期整改后已公开相关信息。
除了 OSS-Fuzz 项目发现的潜在问题外,GraphicsMagick 1.3.32 还解决了处理 SVG、BMP、DIB、MIFF、MAT、MNG、TGA、
TIFF、WMF 和 XWD。 非安全性改进包括扩展对 WebP 的支持以及以盲文格式记录图像以供盲人查看的能力。
还值得注意的是,GraphicsMagick 1.3.32 中删除了一项可能导致数据泄露的功能。 该问题涉及 SVG 和 WMF 格式的“@filename”表示法的处理,该表示法允许指定文件中存在的文本显示在图像顶部或包含在元数据中。 如果 Web 应用程序没有对输入参数进行适当的验证,攻击者可能会使用此功能从服务器获取文件内容,例如访问密钥和保存的密码。 该问题也出现在 ImageMagick 中。
来源: opennet.ru